Wyskakujące reklamki i nowe okna w przeglądarce

[Arachid]

Przy próbie pobrania pliku ze strony, której nazwy nie pamiętam, doszło do infekcji, która objawia się tym, że po starcie systemu ukazuje się komunikat:
PowerDVD14Agent.exe – Błąd aplikacji
Instrukcja spod 0x00ed1000 odwołuje się do pamięci pod adresem 0x00ed1000. Pamięć nie może być „read”. Kliknij przycisk OK, aby przewać działanie aplikacji.
Następnie system działa, ale po otwarciu przeglądarki internetowej Firefox, Chrome lub Internet Explorer następuje horror. Pojawiają się okienka reklamowe ze wszystkich kierunków – z dołu, z boku, z góry. Otwierają się nowe strony i to w takim tempie, że zrobienie czegokolwiek jest prawie niemożliwe. Przeglądarka się zacina zawalona szalejącymi reklamkami i stronami. Oczywiście domyślna strona startowa przeglądarki też jest zmieniona.
 

Addition.txt

FRST.txt

log Gmer.txt

Shortcut.txt

[picasso]

PowerDVD14Agent.exe – Błąd aplikacji

Instrukcja spod 0x00ed1000 odwołuje się do pamięci pod adresem 0x00ed1000. Pamięć nie może być „read”. Kliknij przycisk OK, aby przewać działanie aplikacji.

Ten błąd generuje wpis PowerDVD i nie wiadomo czy ma to cokolwiek wspólnego z infekcją:

 

HKLM\...\Run: [PowerDVD14Agent] => G:\Program Files\CyberLink\PowerDVD14\PowerDVD14Agent.exe [795672 2014-08-12] (CyberLink Corp.).

 

 

Następnie system działa, ale po otwarciu przeglądarki internetowej Firefox, Chrome lub Internet Explorer następuje horror. Pojawiają się okienka reklamowe ze wszystkich kierunków – z dołu, z boku, z góry. Otwierają się nowe strony i to w takim tempie, że zrobienie czegokolwiek jest prawie niemożliwe. Przeglądarka się zacina zawalona szalejącymi reklamkami i stronami. Oczywiście domyślna strona startowa przeglądarki też jest zmieniona.

Owszem, masa obiektów adware w systemie. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja przeglądarki. Rozpoczniemy od deinstalacji adware, a po tym będą poprawki.

 

 

Działania do przeprowadzenia:

 

1. Przez Dodaj/Usuń programy odinstaluj:

 

- Adware/PUP: AnySend, App Lid, AppsHat Mobile Apps, BearShare, BetterDeals, ConvertAd, digi docket, GamesDesktop 008.65, Genieo, GoHDV09.03, HD Cinema Pro 1.8cV09.03, IGS, igsc, Improved Search, My Program version 1.5, mystartsearch uninstall, PriuceLesss, Quick Ref 1.10.0.9, Remote Desktop Access (VuuPC), SmartWeb, Super Optimizer v3.2, WinCheck

- Poszkodowane Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

 

Nie stosuj do deinstalacji Revo. Po deinstalacjach nie instaluj na razie Google Chrome, ani żadnych innych nowych aplikacji.

 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut.

[Arachid]

Wykonałem polecone deinstalacje. Nie był wymieniony AnyProtect, ale to też usunąłem, bo mi się samo uruchamiało.

Załączam nowy log z FRST.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

AnyProtect nie figurował na liście zainstalowanych w Addition (inne jego składniki owszem były widoczne), dlatego nie został zadany do deinstalacji via Dodaj/Usuń. Za to w międzyczasie nabawiłeś się nowych pozycji adware (istartsurf). Deinstalacje sporo zlikwidowały, ale tu nie koniec prac. Kolejne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt; G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys [55824 2015-03-08] (StdLib)
R1 {e4db71b5-18d7-401c-9152-e63e79440e72}Gt; G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys [55824 2015-03-10] (StdLib)
S2 globalUpdate; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed]
S3 globalUpdatem; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed]
R1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
R4 {0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt; system32\drivers\{0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt.sys [X]
Task: G:\WINDOWS\Tasks\APSnotifierPP1.job => G:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: G:\WINDOWS\Tasks\APSnotifierPP2.job => G:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: G:\WINDOWS\Tasks\APSnotifierPP3.job => G:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: G:\WINDOWS\Tasks\CCVL.job => G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe
Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
HKLM\...\Run: [upfst_pl_6.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\fst_pl_6\upfst_pl_6.exe -runhelper
HKLM\...\Run: [fst_pl_19] => [X]
HKLM\...\Run: [fst_pl_6] => [X]
HKLM\...\Run: [fst_pl_73] => [X]
HKLM\...\Run: [fst_pl_99] => [X]
HKLM\...\Run: [gmsd_pl_65] => [X]
HKLM\...\Run: [upgmsd_pl_65.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\gmsd_pl_65\upgmsd_pl_65.exe -runhelper
HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [bearShare] => "G:\Program Files\BearShare Applications\BearShare\BearShare.exe" --lightmode
HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [iSUSPM] => G:\Documents and Settings\All Users\Dane aplikacji\FLEXnet\Connect\11\ISUSPM.exe -scheduler
Startup: G:\Documents and Settings\Pc\Menu Start\Programy\Autostart\superpc_soft_partner.lnk
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms}
HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - G:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1425850244&from=epom2&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate)
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate)
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\searchengine@gmail.com
FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\istart_ffnt@gmail.com
G:\Documents and Settings\All Users\Dane aplikacji\{ba121210-d50e-5ae8-ba12-21210d504843}
G:\Documents and Settings\All Users\Dane aplikacji\9651896652148095366
G:\Documents and Settings\All Users\Dane aplikacji\cb595a1a00006ece
G:\Documents and Settings\All Users\Dane aplikacji\fmhcfkifjpdlmcallfafjkgjemhiddnf
G:\Documents and Settings\All Users\Menu Start\Programy\Catalyst Control Center
G:\Documents and Settings\Pc\TempWmicBatchFile.bat
G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe
G:\Documents and Settings\Pc\Dane aplikacji\CCVL
G:\Documents and Settings\Pc\Dane aplikacji\45443439-1425850326-4639-4637-3743FFFFFFFF
G:\Documents and Settings\Pc\Dane aplikacji\AnyProtectEx
G:\Documents and Settings\Pc\Dane aplikacji\ASPackage
G:\Documents and Settings\Pc\Dane aplikacji\istartsurf
G:\Documents and Settings\Pc\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\BearShare.lnk
G:\Documents and Settings\Pc\Dane aplikacji\mystartsearch
G:\Documents and Settings\Pc\Dane aplikacji\systweak
G:\Documents and Settings\Pc\Menu Start\Programy\BearShare.lnk
G:\Documents and Settings\Pc\Ustawienia lokalne\Temp.dat
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsb195.tmp
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsg302.tmp
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsx2C1.tmp
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsy16E.tmp
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\globalUpdate
G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\SmartWeb
G:\Program Files\globalUpdate
G:\Program Files\IGS
G:\Program Files\predm
G:\Program Files\PriuceLesss
G:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
G:\WINDOWS\system32\BasementDusterOff.ini
G:\WINDOWS\system32\BDL.dll
G:\WINDOWS\system32\roboot.exe
G:\WINDOWS\system32\TempWmicBatchFile.bat
G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys
G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys
Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

G:\Documents and Settings\Pc\Menu Start\Programy\Akcesoria\Narzędzia systemowe

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "G:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błąd startowy PowerDVD nadal występuje.

[Arachid]

Wykonałem polecenia. Załączam wymagane logi. Błąd startowy PoverDVD nadal występuje, ale to samo w sobie mnie nie boli.

Fixlog.txt

FRST.txt

[picasso]

Ten błąd PowerDVD nie wygląda na pochodną infekcji. Infekcje zostały już pomyślnie usunięte i teraz to tylko działania kosmetyczne.

 

1. Obejście błędu startowego: Start > Uruchom > msconfig i w karcie Uruchamianie odznacz wpis PowerDVD14Agent.

 

2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu G:\AdwCleaner.

[Arachid]

Uruchomiłem AdwCleaner. U mnie ma angielskie menu. Wybrałem opcję Scan. Nic więcej nie kazałem mu robić. Dołączam log.

 

Przeglądarka zachowuje się spokojnie. Okna i reklamy przestały się pokazywać. Wizualnie jest OK.

AdwCleanerR1.txt

[picasso]

Kolejna porcja zadań:

 

1. Uruchom AdwCleaner ponownie i zastosuj kombinację opcji Search + Clean. Gdy program ukończy usuwanie adware:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: G:\AdwCleaner
RemoveDirectory: G:\Documents and Settings\Pc\Pulpit\Stare dane programu Firefox
RemoveDirectory: G:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikoy fixlog.txt.

[Arachid]

Wykonałem. Filxlog.txt załączam.

 

Po starcie sytyemu ukazuje się okno z komunikatem: Narzędzie konfiguracji sytstemu zostało uzyte do zmiany sposobu uruchamiania systemu Windows.Uruchamianie w trybie diagnostycznym lub selektywnym. (...)

Zamykam to okienko krzyżykiem.

Ukazuje się nowe okno, w którym otwarta jest zakładka "Ogólne", zaznaczonie "uruchamianie selektywne", wszystkie opcje zaptaszkowane.

Znów zamykam to krzyżykiem.

Co powinienem zrobić?

Fixlog.txt

[picasso]

Fix wykonany. Kończymy:

 

1. Usuń używane w temacie narzędzia z G:\Narzedzia.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

Po starcie sytyemu ukazuje się okno z komunikatem: Narzędzie konfiguracji sytstemu zostało uzyte do zmiany sposobu uruchamiania systemu Windows.Uruchamianie w trybie diagnostycznym lub selektywnym. (...)

Zamykam to okienko krzyżykiem.

To jest naturalny skutek tej akcji:

 

1. Obejście błędu startowego: Start > Uruchom > msconfig i w karcie Uruchamianie odznacz wpis PowerDVD14Agent.

Na tym komunikacie powinieneś wybrać opcję "Nie pokazuj ponownie...".

[Arachid]

Wykonałem.

W załączniku log DelFix.

DelFix.txt

[picasso]

Skasuj z dysku plik G:\Delfix.txt. To tyle.

[Arachid]

Skasowałem ten pliczek.

Dziękuję bardzo i kłaniam się nisko